Die Kampagne von Mustang Panda folgt einem bewährten Muster, das Sicherheitsexperten zunehmend beunruhigt: Statt hochsophistizierter Techniken nutzen die Angreifer einfache, aber effektive Methoden. Die Spear-Phishing-Mails an indische Ziele wurden als IT-Helpdesk-Anfragen getarnt – eine klassische Social-Engineering-Taktik, die sich trotz ihrer Simplizität in vielen Fällen bewährt.
Besonders bemerkenswert ist die parallele Kampagne gegen amerikanische und koreanische Ziele. Die Hacker erstellten ein gefälschtes Google-Konto, das den Geopolitik-Experten Victor Cha imitiert. Cha, ehemaliger Direktor für asiatische Angelegenheiten im National Security Council der Bush-Administration, gilt als Schlüsselfigur in Fragen der Korea- und Indo-Pazifik-Sicherheit. Mit dieser Identität versuchten die Angreifer, Kontakte in der US-Korea-Diplomatie-Community zu kompromittieren.
Das technische Vorgehen offenbart Mustang Pandas pragmatische Herangehensweise: Nach dem Öffnen präparierter Dateien exploitieren die Angreifer DLL-Sideloading – ein Klassiker der Windows-Angriffe. Anschließend installieren sie LotusLite, eine hausgemachte Backdoor der Gruppe, die Remote-Operationen und Spionage ermöglicht. Die neueste Variante enthält nur geringfügige Verbesserungen zur Umgehung von Sicherheitstools und ist oberflächlich als legitime Banking-Software – speziell als HDFC Bank, Indiens größte Privatbank – getarnt.
Das überraschend ist nicht die Komplexität, sondern die strategische Absicht. Santiago Pontiroli, Leiter der Threat Research Unit bei Acronis, betont: “Mustang Panda zielt nicht auf Finanzbetrug ab.” Die LotusLite-Variante zeigt keine typischen Banking-Malware-Funktionen wie Passwort-Harvesting oder Payment-Interception. Stattdessen geht es um Intelligencesammlung.
Indische Finanzinstitute bieten China wertvollen Zugang zu Grenzübergreifenden Transaktionen, regierungsgebundenen Konten, Infrastrukturfinanzierung und internationalen Handelsflüssen. Solche Daten ermöglichen Einblicke in Kapitalbewegungen, wirtschaftliche Beziehungen und politische Entscheidungsfindung.
Was macht diese Kampagne relevant für deutsche Sicherheitsverantwortliche? Pontiroli warnt: “Nation-States verlassen sich oft auf simple, bewährte Techniken, die mit Disziplin ausgeführt werden.” Viele Organisationen konzentrieren sich ausschließlich auf fortgeschrittene Bedrohungen und übersehen dabei Basis-Kontrollen. Unsigned DLLs, fehlende Endpoint-Überwachung und Missbrauch legitimer Binärdateien – diese klassischen Angriffsvektoren funktionieren immer noch.
Das ist für Mustang Panda ein Vorteil: Einfache Techniken sind schnell anpassbar, kostengünstig und können bei Entdeckung schnell rotiert werden. Während europäische Unternehmen zunehmend mit chinesischem Interesse an kritischen Infrastrukturen, Finanzflüssen und geopolitischen Fragen rechnen müssen, ist die Botschaft klar: Grundlagen statt Hysterie.